CISO`S - La voz del CISO

Escrito por  Lunes, 29 Junio 2015 19:06

Directores de seguridad de la información responden cuatro preguntas clave dentro de su gestión.

 

 

Alberto Solano, CISA, CISM.

InfoSecProctitioner

Define la Real Academia de La Lengua la convergencia como “Dicho de dos o más líneas: Dirigirse a unirse en un punto. O Dicho de los dictámenes, opiniones o ideas de dos o más personas: Concurrir al mismo fin”. Al revisar el concepto de convergencia como la tendencia a ir a un mismo punto o tener una comunión de ideas y de conceptos que buscan encontrar algo en concreto, ante unas realidades que pueden verse inmersas bajo denominadores comunes y con claras orientaciones a tener un frente común de atención y observación, nos ubicamos en contexto.

Desde esta perspectiva, la convergencia vista en los escenarios de seguridad de la información puede abarcar tres enfoques o tres visiones que la hacen retadora, a la hora de plantear soluciones a los retos actuales en materia de protección de la información. 

 

Para este ejercicio definiremos la convergencia como una búsqueda común frente a unas amenazas actuales que se mezclan y crean matices nuevos, que enfrentan a las organizaciones a retos donde las acciones conjuntas y no aisladas son la mejor forma de combatir los riesgos modernos, a los que las compañías pueden verse expuestas. Desde esta perspectiva respondo las preguntas.

 

1. Entendiendo el complejo ecosistema tecnológico y organizacional de las empresas en la actualidad, y frente a una necesidad innegable de contar con un enfoque unificado y/o holístico a la hora de enfrentar los nuevos y mejorados escenarios de riesgos a los que las entidades pueden verse expuestos, ¿cuáles son sus recomendaciones para que esta realidad de visualización unificada pueda adoptarse más rápido como práctica organizacional, medible y repetible?

Siendo la seguridad de la información el foco de los esfuerzos, es conveniente observar el asunto en términos de niveles de madurez que permitan contar con criterios para facilitar la medición de los resultados. En el escenario de una organización que ya ha estabilizado la función de la seguridad de la información en sus distintas aristas (procesos, personas y tecnologías), en las que existe una sólida alineación entre los resultados y los intereses, expectativas y/o exigencias de los grupos de interés (juntas directivas, entes de control, usuarios internos, clientes, proveedores) entre otros, el punto de partida sugerido es iniciar con el consumo de eventos relevantesde los distintos procesos (fuentes. Eventos que puedan representar peligros para el cumplimiento de los objetivos misionales, que se deriven de la confidencialidad, integridad y disponibilidad de la información, entendiendo esto como condiciones ideales para la misma, en términos de seguridad. Dicho consumo de eventos implica exigir el reporte de los mismos al CISO, para que en un panorama unificado, sean presentados a la junta directiva. Así, de manera simbólica y pensando en términos de niveles de madurez, las organizaciones se ubicarían en un nivel inicial, toda vez que ya han identificado la necesidad de ampliar su visión y de iniciar acciones derivadas de un conjunto de amenazas y vulnerabilidades.

 

No obstante lo anterior y, aunque la convergencia empieza a ganar terreno como un concepto emergente, no dejo de observarlo como un reto gigantesco y ambicioso para las organizaciones, pues si hasta la fecha la venta exitosa de la función de la seguridad de la información no ha sido una cima del todo conquistada, cuánto más lo será la integración de los procesos de aseguramiento, no porque sí, sino considerando su necesidad real y la entrega de valor para el negocio.


2. Considerando el concepto de convergencia como la tendencia de buscar respuestas unificadas frente amenazas consistentes que aúnan frentes de trabajo, ¿cuál es su visión para enfrentar un mundo de amenazas en donde el lado oscuro utiliza vectores de ataques (físicos y lógicos) para provocar efectos nocivos en las organizaciones?

El punto de partida sugerido es extender el alcance de ciertos frentes de la seguridad de la información, al campo de la seguridad física. Entre los frentes en mención se podrían considerar, en primera instancia y para efectos del reporte a nivel de la seguridad de la información, la gestión de incidentes, por cuanto ciertos activos fijos podrían observarse como contenedores de activos de información vitales para el negocio. Así mismo, y desde el frente del cumplimiento, es viable considerar la ejecución de pruebas de efectividad sobre los controles de acceso físico (físicos y lógicos), en complemento con sesiones de concienciación y pruebas de ingeniería social para las personas encargadas de su operación. Esta visión inicial movería el frente de la seguridad física, de un estado fijo, rutinario y operativo, a un ambiente dinámico, tendiente hacia el mejoramiento continuo y con entrega de valor, en los niveles tácticos y estratégicos de las organizaciones.


3. Pensando en acciones unificadas y decisiones consensuadas frente a los riesgos a los que las organizaciones se ven expuestas hoy en día,  ¿cómo debe ser el rol del CISO y qué tipo de acciones debe aprender y ejercer? Así mismo, ¿qué tipo de relaciones debe mantener para atender las situaciones que demandan su atención?

Del CISO de hoy se espera un tándem personal-técnico con habilidades blandas extraordinarias, tanto o más que habilidades técnicas propias del oficio. Así las cosas, más allá de las estrategias tradicionales de seguridad de la información, que se construyen a partir de los riesgos existentes, el CISO debería definir estrategias orientadas a transformar las percepciones y expectativas de los distintos grupos de interés, —principalmente de las juntas directivas—, sobre la función de la seguridad de la información, a través de la búsqueda recurrente de espacios, en los que presente el panorama actual y la posición de la organización frente al mismo. El CISO de hoy también debe convertirse en el más hábil y efectivo de los vendedores, en motivador, inspirador, altamente creativo, excelente comunicador y debe revolucionar la razón de su existencia, migrando de un entorno dominado por la incertidumbre, a un entorno en el que tiene a su alcance la visibilidad de las vulnerabilidades y amenazas, lo que a su vez le hace posible hacer tangibles sus resultados y demostrar con creces el valor que otorga a las organizaciones. El CISO debe ser un artista excepcional en la construcción de relaciones, internas —en todos los niveles jerárquicos de la organización pero, particularmente en el nivel sénior—, como externas (autoridades, entes de control, academia, colegas), pues sabe que de estas depende el éxito y la materialización de sus ideales como ejecutivo.


4. En su experiencia en el manejo de programas de seguridad de la información, ¿cuáles son los retos para los próximos cinco años y las acciones estratégicas que sus organizaciones deberían plantear, frente a los riesgos emergentes relacionados con la convergencia? 

Aunque atípico, veo conveniente mencionar un riesgo interno y es el de las percepciones y expectativas desviadas de la alta dirección, frente a la función de seguridad de la información, pues éstas pueden ser determinantes en el curso a seguir durante los próximos años. Como lo indiqué, es pertinente plantear estrategias que consideren este gran reto. Por otro lado, los esfuerzos deben enfocarse en desarrollar capacidades de visibilidad de las amenazas. De  esta manera es posible cruzar la línea entre actuar bajo la incertidumbre, a hacerlo ante un panorama que se puede anticipar de manera inteligente y, por lo tanto, tener mayor control.

 

Pensando en términos de defensa en profundidad, no veo descabellado proponer un nivel adicional en dicho concepto, en el que las organizaciones desplieguen esfuerzos para fortalecer los controles de los terceros responsables en la protección de los activos de información, entregados en custodia. Esto implica exigir que los proveedores responsables se unan a las mismas prácticas de convergencia. Es evidente, como ya lo mencioné, que la convergencia multiplicará en forma exponencial los esfuerzos y cambiará radicalmente la esencia de la función de la seguridad de la información.

 

Janine García C.

Jefe de Seguridad y Continuidad

Corredores Davivienda

 

1. Entendiendo el complejo ecosistema tecnológico y organizacional de las empresas en la actualidad, y frente a una necesidad innegable de contar con un enfoque unificado y/o holístico a la hora de enfrentar los nuevos y mejorados escenarios de riesgos a los que las entidades pueden verse expuestos, ¿cuáles son sus recomendaciones para que esta realidad de visualización unificada pueda adoptarse más rápido como práctica organizacional, medible y repetible?

Como punto de partida cada organización debería definir la seguridad de
la información como un proceso transversal, orientado a fortalecer el
cumplimiento de los objetivos del negocio y con respaldo definitivo de la
alta gerencia.


Definir gestores del tratamiento de los activos de información que sean los
responsables del mantenimiento y de la gestión de seguridad de la
información en su proceso, atendiendo desde luego, los lineamientos de
seguridad de la información.

 

Finalmente, como responsables de la seguridad de la información ofrecer a
los gestores de los procesos, los elementos adecuados que permitan la
continuidad de sus operaciones, sin degradar la efectividad en cuanto a la
protección de los activos de información. Y, lo más importante, mantener a
la organización informada sobre los factores que día a día se van
presentando y que puedenponer en riesgo la seguridad en los procesos de
la organización.


2. Considerando el concepto de convergencia como la tendencia de buscar respuestas unificadas frente amenazas consistentes que aúnan frentes de trabajo, ¿cuál es su visión para enfrentar un mundo de amenazas en donde el lado oscuro utiliza vectores de ataques (físicos y lógicos) para provocar efectos nocivos en las organizaciones? 


Del método que utilice el atacante se debe encargar un grupo especializado
de seguridad de la información en las organizaciones, que esté en constante
(día día, hora a hora, minuto a minuto) investigación, monitoreo de
herramientas y alertas que permitan tomar decisiones oportunas para
proteger los activos de información.


Sensibilizar (boletines, capacitaciones, ejercicios prácticos) continuamente a toda la organización y a sus clientes, sobre los incidentes y amenazas de seguridad, manteniendo el interés y despertando curiosidad e inquietud en los usuarios, para estar atentos a la información de dudosa procedencia y comportamiento anormal de sus equipos.


Podremos tener todas las herramientas de seguridad del mundo y lo último en
tecnología, pero si no tenemos un buen programa de sensibilización y no
involucramos a “todos” los empleados y clientes que forman parte de la
organización, estaremos abocados al desconocimiento y a respuestas como estas cuando nos ocurra una situación: “es que yo no sabía que, a mí nadie me dijo, lo hice sin intención, no tenía idea de”.


3. Pensando en acciones unificadas y decisiones consensuadas frente a los riesgos a los que las organizaciones se ven expuestas hoy en día,  ¿cómo debe ser el rol del CISO y qué tipo de acciones debe aprender y ejercer? Así mismo, ¿qué tipo de relaciones debe mantener para atender las situaciones que demandan su atención?

El CISO debería ofrecer valor agregado a la organización y obtener el
apoyo de la alta gerencia. Así mismo, concienciar sobre la responsabilidad que
se debe asumir en cada uno de los procesos frente a la seguridad de la
información; formular indicadores que permitan, de manera sencilla y efectiva, evidenciar los riesgos a los que se encuentra expuesta la organización; tomar decisiones alineadas al negocio y a las estrategias tecnológicas; analizar el entorno y comportamiento de las demás empresas, incluso a nivel mundial,  para estar alineado con las normas yestándares internacionales.


4. En su experiencia en el manejo de programas de seguridad de la información, ¿cuáles son los retos para los próximos cinco años y las acciones estratégicas que sus organizaciones deberían plantear, frente a los riesgos emergentes relacionados con la convergencia?

 El reto es mantener protegidos los activos de información de la organización sin afectar el continuo cambio tecnológico ni los nuevos horizontes que emergen en las organizaciones y que permiten abrir negocios en el mundo entero; además de facilitar a cualquier usuario el manejo de su información, sin fronteras.


Fortalecer el equipo de seguridad de la información (antifraude, ciberseguridad, auditorías, controles, políticas, sensibilización), entre otros, para poder anticiparse a las amenazas, prevenir y controlar. Estoy convencida por la experiencia que llevo en este campo, que el foco central está en las personas y su conocimiento.


Juan Mario Posada

Director de Seguridad de la Información

Amazing

 

1. Entendiendo el complejo ecosistema tecnológico y organizacional de las empresas en la actualidad, y frente a una necesidad innegable de contar con un enfoque unificado y/o holístico a la hora de enfrentar los nuevos y mejorados escenarios de riesgos a los que las entidades pueden verse expuestos, ¿cuáles son sus recomendaciones para que esta realidad de visualización unificada pueda adoptarse más rápido como práctica organizacional, medible y repetible?

Creo que lo más importante es unificar el lenguaje de riesgos y aterrizarlos a un leguaje de negocios que permita que los ejecutivos y las cabezas de todas las áreas de la organización comprendan las implicaciones de la materialización de cualquiera de los escenarios contemplados. Esto facilitará que en la gestión de riesgos se haga una práctica organizacional. Como lo sugiere el modelo de madurez de GRC, es fundamental la formalización de las prácticas de gestión de riesgos (controles, procedimientos, estándares, etc.) que se integre con el gobierno y la gestión del desempeño, el control y auditoría, la ética y la cultura, además del cumplimiento. Esta visión produce efectos en el logro de objetivos de negocio, la confianza de los stakeholders, la capacidad de respuesta, la reducción de la adversidad, la mejora de la cultura organizacional frente al riesgo, entre otros.

 

2. Considerando el concepto de convergencia como la tendencia de buscar respuestas unificadas frente amenazas consistentes que aúnan frentes de trabajo, ¿cuál es su visión para enfrentar un mundo de amenazas en donde el lado oscuro utiliza vectores de ataques (físicos y lógicos) para provocar efectos nocivos en las organizaciones?

Las organizaciones deben romper paradigmas que han conservado por años. Algunos de ellos están soportados en ideas que está demostrado son falsas, como por ejemplo: “estamos seguros y nada nos va a pasar”; “no somos un banco”; “somos una empresa pequeña y no nos van a atacar”; “tenemos Firewall, IPS, y otras tecnologías que nos protegen”. La desmitificación de esas ideas permitirá que las empresas, desde los niveles de alta gerencia, aborden el contexto de riesgos con una visión más realista. Como sugiere la literatura de ciberseguridad, debemos procurar pensar como los atacantes. Lo anterior,  unido a información sensible a la que tenemos acceso directo, permitirá realizar algo como un análisis DOFA de ciberseguridad, el cual debería ser un punto de partida hacia la identificación de los riesgos y las medidas resultantes, para mitigar los más críticos.

 

3. Pensando en acciones unificadas y decisiones consensuadas frente a los riesgos a los que las organizaciones se ven expuestas hoy en día,  ¿cómo debe ser el rol del CISO y qué tipo de acciones debe aprender y ejercer? Así mismo, ¿qué tipo de relaciones debe mantener para atender las situaciones que demandan su atención?

Para empezar, muchas empresas deben partir por evaluar la línea de reporte que actualmente tienen sus directores de seguridad de la información. El aumento del uso del ciberespacio como medio para proporcionar, vender, desarrollar y masificar productos o servicios, ha llevado a que el rol del CISO deje de ser visto como un soporte técnico y se considere un apoyo estratégico de la organización. Por esto, es fundamental que él aprenda también a comprender las necesidades del negocio y las estrategias de las organizaciones. Pero también, a comunicar los riesgos en un lenguaje no técnico. Igualmente, el CISO debe buscar escenarios de colaboración donde se compartan experiencias de organizaciones similares. Esto es fundamental para fortalecer los sectores de la industria y enfrentar el escenario actual.

 

4. En su experiencia en el manejo de programas de seguridad de la información, ¿cuáles son los retos para los próximos cinco años y las acciones estratégicas que sus organizaciones deberían plantear, frente a los riesgos emergentes relacionados con la convergencia? 

Estamos viviendo una revolución de internet que aumenta el uso de tecnologías móviles, la nube y la prestación de una gran variedad de tecnologías “As a Service”. Esto conduce a que las empresas busquen alternativas de uso responsable de la tecnología, como medio para el cumplimiento de los objetivos estratégicos, gestionando los riesgos de seguridad, pero también maximizando la explotación de las oportunidades que este contexto facilita. Es fundamental cerrar las brechas de comunicación que existen entre las diferentes áreas de la organización con el CISO. Cerrar estas brechas permitirá ofrecer al mercado alternativas seguras, para satisfacer sus necesidades. Incrementar la confianza de los clientes, socios de negocio y stakeholders, seguramente impulsará los negocios, la globalización de los productos y servicios que se ofrecen y la integración con otras soluciones a necesidades específicas. Un mercado seguro consume con más tranquilidad.

 

Luis F. González, MSc, ABCP, CEH

Manager Risk Management

Office of Business Technology

 

1. Entendiendo el complejo ecosistema tecnológico y organizacional de las empresas en la actualidad, y frente a una necesidad innegable de contar con un enfoque unificado y/o holístico a la hora de enfrentar los nuevos y mejorados escenarios de riesgos a los que las entidades pueden verse expuestos, ¿cuáles son sus recomendaciones para que esta realidad de visualización unificada pueda adoptarse más rápido como práctica organizacional, medible y repetible?

Partiendo de la premisa que el término convergencia bajo el esquema de riesgos puede sonar nuevo, innovador, retador, desafiante e incluso expectante,  por la necesidad de conocer los resultados y el valor agregado que este modelo de “control” puede aportar a la organización, indudablemente una práctica de éxito para fortalecer el concepto es producir resultados prácticos, certeros y de impacto inmediato, en los procesos estratégicos de la organización. Un ejemplo es el ejercicio de análisis de riesgos en el proceso contractual con clientes o proveedores, en donde podríamos decir que intervienen analistas de riesgo legal, riesgo operacional y riesgo informático.  Bajo estas tres perspectivas  y un solo enfoque, se puede poner sobre la mesa de un comité gerencial un mapa de riesgos, en donde se vislumbren los potenciales clientes en riesgo por incumplimiento de clausulas, bajo cada uno de los tres enfoques citados o los posibles riesgos a los cuales un proveedor está llevando a la empresa por el incumplimiento a lo pactado en forma contractual.

 

Durante el proceso de gestación del sistema es adecuado iniciar con mediciones cualitativas de los riesgos, mostrando el impacto de las amenazas de manera tangible, y permitiendo definir planes de mitigación a la medida de la organización. Los modelos cuantitativos de riesgos son recomendables en aquellas organizaciones con un nivel mayor de madurez en el proceso, en donde el “oficial/gerente/director de riesgos” sea visto como un socio estratégico para el negocio, en su cadena de valor.

 

2. Considerando el concepto de convergencia como la tendencia de buscar respuestas unificadas frente amenazas consistentes que aúnan frentes de trabajo, ¿cuál es su visión para enfrentar un mundo de amenazas en donde el lado oscuro utiliza vectores de ataques (físicos y lógicos) para provocar efectos nocivos en las organizaciones?

Una respuesta simple podría estar en la frase “siempre hay que estar un paso adelante del lado oscuro”. Pero, si el significado de dicha frase fuese evaluado dentro de la organización, podríamos decir que casi siempre -por no decir que siempre-, estaríamos en incumplimiento de la misma. En un mundo tan globalizado de tecnologías emergentes es más que lógico que las amenazas muten, de acuerdo con la transformación y evolución de la tecnología. Un ejemplo sencillo son las amenazas provocadas por vulnerabilidades de Zero-Day. En este caso, vemos muy frecuentemente que las empresas de desarrollo de software antivirus o empresas de desarrollo de técnicas de análisis y detección de vulnerabilidades, toman su tiempo después que emerge la amenaza, para detectarla y eliminarla. Durante esta brecha de tiempo, el lado oscuro ya ha tomado ventaja; corta en ocasiones, pero al fin y al cabo ventaja.

 

Lo descrito nos invita a desarrollar y mantener procesos de gestión para la detección, contención y reducción de impacto de las amenazas en las organizaciones. Un caso práctico es el proceso de respuesta y atención a incidentes o el proceso de gestión de vulnerabilidades. Este último no evitara que una vulnerabilidad se materialice, pero sí reducirá su probabilidad e impacto. En cuanto al proceso de respuesta y atención de incidentes, mitigará  los efectos colaterales que la materialización de una amenaza pueda generar en la organización, sin dejar atrás la activación del plan de continuidad del negocio, de ser requerido. La gran invitación a la excelencia en estas labores de análisis y detecciones tempranas de amenazas emergentes, observadas  desde el punto de vista cibernético, la debemos hacer a los socios de negocio, en quienes confiamos nuestro esquema de monitoreo, bajo la filosofía de un SOC o servicios de SIEM. Aquí es donde más fuertes o más débiles somos en nuestros procesos detectores y preventivos.

 

3. Pensando en acciones unificadas y decisiones consensuadas frente a los riesgos a los que las organizaciones se ven expuestas hoy en día,  ¿cómo debe ser el rol del CISO y qué tipo de acciones debe aprender y ejercer? Así mismo, ¿qué tipo de relaciones debe mantener para atender las situaciones que demandan su atención?

El rol del CISO debería emerger como un producto a la medida de las necesidades de control de la organización. Por lo tanto, sus habilidades como su léxico deberían ser capaces de tocar y debatir aspectos técnico/tácticos,  como también simplificar el impacto de un análisis de riesgos en la posible variación del precio de las acciones de la empresa, cuando una nueva amenaza emerge y atemoriza al mercado que invierte en ella. Esta última frase puede resultar difícil de cumplir, pero si pensamos en el CISO como un socio estratégico de negocio, sería un punto válido de llegada.

 

Las habilidades de líder en el CISO deben ser innatas;  su equipo de trabajo debe superar sus habilidades técnicas. El poder de convocatoria y oratoria son fundamentales para ser escuchado en la organización. La priorización de lo importante, versus lo urgente, debe estar en su agenda. Debe manejar -casi a la perfección- el concepto de “aceptación de riesgos”, como una herramienta útil, pero de doble filo, al no ser bien administrada para permitir el desarrollo del negocio, cuando los recursos no cubren las necesidades de control en la organización. El CISO debe diseñar estrategias de control bajo esquemas que contemplen en su orden: personas, procesos y un aspecto no menos importante, tecnología.

 

4. En su experiencia en el manejo de programas de seguridad de la información, ¿cuáles son los retos para los próximos cinco años y las acciones estratégicas que sus organizaciones deberían plantear, frente a los riesgos emergentes relacionados con la convergencia? 

La constante evolución de amenazas debe llevar a las organizaciones a realizar análisis de riesgos sobre eventos de cisne negro, teoría que define situaciones de muy baja probabilidad, por no decir sorpresivas, pero que generan un gran impacto. Quizá, si manejamos este concepto en la convergencia de riesgos, podremos identificar y determinar algunas amenazas emergentes, poco probables de afectar en gran proporción la estrategia. Dicho lo anterior, uno de los principales retos para los años venideros es el fortalecimiento de la cultura de riesgo, en donde la medición del nivel de madurez en el proceso, siempre esté a la orden del día. Inadecuadas acciones que carezcan de estrategia, pueden llevar al CISO a un estado en el cual la organización lo perciba como un recurso netamente con conocimientos tecnológicos, perdiendo el enfoque del verdadero valor que la posición debe tener para las compañías.

 

 

Leido 2646 veces Modificado por ultima vez Lunes, 06 Julio 2015 21:01

Ingrese su comentario

Por favor confirme que ingreso la informacion requerida. Codigo HTML no esta permitido

Actividades Académicas

 

Sobre ACIS

La Asociación Colombiana de Ingenieros de Sistemas es una organización sin ánimo de lucro que agrupa a más de 1500 profesionales en el área de sistemas. ACIS nació en 1975 agrupando entonces a un número pequeño de profesionales en sistemas. Más información